引言：為了防范優(yōu)盤病毒，一般采取的方法是不直接雙擊優(yōu)盤盤符，而是在優(yōu)盤的右鍵菜單中判斷是否包含“auto”等病毒創(chuàng)建的菜單項，并點擊其中的“打開（O）”或者“資源管理器（X）”項來安全打開優(yōu)盤，然后再清除優(yōu)盤中的刻意程序。不過，現(xiàn)在很多優(yōu)盤病毒也變得狡猾起來，會通過構(gòu)造偽裝性極強的菜單項，來誘惑用戶落入圈套。這里，筆者就結(jié)合實例，來剖析了這類優(yōu)盤病毒特點并分析了應(yīng)對策略。

大意中招，遭遇精心偽裝的優(yōu)盤病毒

筆者到了單位，同事將借用的優(yōu)盤還了回來，因為筆者要復(fù)制一些資料，于是將優(yōu)盤連接好，為了穩(wěn)妥起見，筆者打開了優(yōu)盤盤符的右鍵菜單，看到其第一項為“打 開（O）”，于是筆者就放心了，心想如果是優(yōu)盤病毒的話，菜單首項肯定為“Auto”等可疑字樣。但是，當(dāng)點擊了上述菜單中的“打開”項后，并沒有打開優(yōu)盤，鼠標(biāo)箭頭變成沙漏狀，似乎在運行什么程序。筆者暗道不妙，肯定中招了。

搜尋病毒程序

打開任務(wù)管理器，仔細(xì)觀察發(fā)現(xiàn)了名稱為“winguserv.exe”病毒進程，經(jīng)過搜索發(fā)現(xiàn)該病毒位于“C:Windows”文件夾中。于是先將其終止，然后將病毒文件刪除，筆者以為就此清除了病毒。不過，很快該病毒進程又出現(xiàn)了?？磥?，肯定有另外的病毒程序為其內(nèi)應(yīng)，于是運行了SysCheck這款安全利器，在其“進程管理”面板中發(fā)現(xiàn)了一個看起來很奇怪的“schhost.exe”進程，從表面上看這是一個系統(tǒng)進程，但是在“映像路徑”列中卻顯示其路徑為“C:WinodwsSystem32config32svchost.exe”。這個“svchost.exe”進程一定是病毒的內(nèi)應(yīng)，打開上述路徑，卻無法顯示該病毒程序。看來病毒一定是隱藏了自己，但是不管在文件夾選項窗口中取消“隱藏受保護的操作系統(tǒng)文件”項或者選擇了“顯示所有文件和文件夾”項，都無法顯示隱藏的病毒文件?？磥恚《疽欢ㄊ菍ψ员碜隽耸帜_，在注冊表編輯器中打開“HKEY_LOCAL _MACHINESOFTWAREMicrosoftWindowsCurrentVersion ExplorerAdvancedFolderHiddenSHOWALL”分支，將窗口右側(cè)的“CheckedValue”鍵值名的數(shù)值從“0”改為“1”。對資源管理器進行刷新后，病毒文件終于現(xiàn)身了。經(jīng)過研究，發(fā)現(xiàn)該病毒程序很狡猾，會每隔幾秒鐘掃描一次注冊表，將上述鍵值名的數(shù)值修改為“0”，來重新隱藏自己?？磥?，要想徹底刪除病毒，還需從啟動項入手。

發(fā)現(xiàn)病毒啟動項并清除病毒

運行Autoruns這款啟動項管理軟件，所有的啟動項信息全部顯示無遺。在其中的“所有項目”面板中搜尋，很快就發(fā)現(xiàn)了病毒啟動項的行蹤。打開注冊表編輯器，展開“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon”分支，在右側(cè)的“Userinit”鍵值名中發(fā)現(xiàn)其內(nèi)容為“userinit.exe,c:windowssystem32config32svchost.exe,winguserv.exe”，而原始的內(nèi)容應(yīng)該為“C:WINDOWSsystem32userinit.exe,”。注意，不要在Autoruns中直接刪除上述病毒啟動項，否則的話系統(tǒng)將無法正常啟動。正確的方法是先恢復(fù)原始的鍵值內(nèi)容，然后重啟系統(tǒng)，將所有的病毒程序全部刪除即可。

揭病毒伎倆，分析病毒特點

清除完病毒后，筆者利用安全方法打開了優(yōu)盤，使用記事本打開了優(yōu)盤中的“autorun.inf”文件，發(fā)現(xiàn)其內(nèi)容為：

原來，病毒對Autorun.inf文件進行了精心的偽裝，偽裝了虛假的“打開（O）”優(yōu)盤菜單，并將其置于菜單首位，讓不知情的用戶失去警惕而點擊該菜單，從而激活潛伏的優(yōu)盤病毒。其實真正的“打開（O）”菜單項實際上位于優(yōu)盤菜單的第三位，但用戶往往將其忽略。在優(yōu)盤上還發(fā)現(xiàn)了“desktop.exe”，“mydll32.exe”，“winfilw.exe”以及兩個Reg文件，優(yōu)盤病毒激活后會釋放winguserv.exe，svchost.exe等不法程序，同時使用內(nèi)置的Reg文件修改注冊表，起到隱藏病毒文件，非法添加啟動項等任務(wù)。

和此類優(yōu)盤病毒的再次交手

無獨有偶，筆者好友最近也遭遇到了這類偽裝性很強的優(yōu)盤病毒。好友原意是為了避開優(yōu)盤病毒，于是在優(yōu)盤右鍵菜單上點擊“資源管理器（X）”項，想使用資源管理器單獨打開優(yōu)盤，不料卻中了病毒的招。病毒激活后造成系統(tǒng)運行出現(xiàn)混亂，好友通過任務(wù)管理器發(fā)現(xiàn)“qljfvxk1.exe”和“nlsrvtk.exe”兩個病毒進程，但是卻無法將其關(guān)閉。

清除病毒的方法

于是重啟系統(tǒng)進入安全模式，在CMD窗口中運行“tasklist”命令，在進程列表中檢測到上述病毒進程PID分別為“1708”和“3259”。于是使用記事本編寫了批處理程序，其內(nèi)容為：

運行該批處理程序，將上述病毒進程關(guān)閉并清除相關(guān)病毒文件。其中的“c:program filescommon filessystem”和“c:program filescommon filesmicrosoft shared”文件夾是病毒的藏身地。分別進入上述文件夾，將和病毒相關(guān)的 inf，reg，exe等文件全部清除。因為病毒還在各個磁盤的根目錄下創(chuàng)建了“autorun.inf”和“hfhludy.exe”文件，將其分別找出并徹底清除，就完成了病毒的清理操作。

病毒構(gòu)造虛假菜單項的方法

為了更好的觀察病毒，好友特地保存了一份病毒的“autorun.inf”文件。其內(nèi)容為：

可以看到，病毒對該“Autorun.inf”文件進行了精心偽裝，在優(yōu)盤（或者其它染毒磁盤）菜單中偽裝了兩個菜單項，第一個名稱為“打開（O）”項，并利用“Shellopendefault=1”語句將其設(shè)置為默認(rèn)菜單項。同時還偽造了名稱為“資源管理器（X）”的菜單項，進一步來欺騙用戶使其失去警惕性。

因為這兩個菜單項和正常的菜單項幾乎一致，用戶不管是點擊哪一個偽裝的菜單項，都會毫不知覺的激活潛藏的優(yōu)盤病毒。而且當(dāng)優(yōu)盤病毒運行后，會釋放“qljfvxk1.exe”和“nlsrvtk.exe”兩個病毒程序，相互之間會互相保護，讓用戶使用常規(guī)技術(shù)無法關(guān)閉病毒進程。

如何安全打開優(yōu)盤

對于這類病毒，比較好的處理方法是不要打開優(yōu)盤，先打開CMD窗口，在其中執(zhí)行“dir X:autorun.inf /a”命令，來查看優(yōu)盤中是否存在“autorun.inf”文件，假設(shè)X為優(yōu)盤盤符。如果存在的話，可以執(zhí)行“type x:autorun.inf”命令，來查閱該“Autorun.inf”文件內(nèi)容，判斷其內(nèi)容是否安全，如果確認(rèn)為優(yōu)盤病毒，可以執(zhí)行“del X:autorun.inf”命令，將可疑的“autorun.inf”刪除，然后就可以安全打開優(yōu)盤了。

靈活應(yīng)對，設(shè)計優(yōu)盤病毒防護器

優(yōu)盤是我們很常用的存儲設(shè)備，但是優(yōu)盤病毒卻頗讓人頭疼。在使用優(yōu)盤時，稍不注意，就會讓優(yōu)盤病毒乘虛而入。對于一般的優(yōu)盤病毒還比較好對付，但是對于隱藏很深的優(yōu)盤病毒（例如偽裝成同名文件夾等）來說，清除起來就不是那么容易了。例如，可以做一個有趣的實驗，在優(yōu)盤上復(fù)制一個exe文件，先使用專用工具修改其圖標(biāo)，使其看起來像文本文件之類的文件。然后在其名稱后面添加100多個空格和幾個點符號，保持其exe擴展名不變。這樣，不僅無法查閱該程序的后綴名，而且在鼠標(biāo)提示信息中也無法顯示其類型。這樣就起到了很強的迷惑作用，讓人誤以為其是一個非exe文件，從而避開搜捕。

圖1 使用組策略，創(chuàng)建安全規(guī)則

安全軟件的不足之處

現(xiàn)在很多殺軟都采用主動防御技術(shù)來對抗優(yōu)盤病毒，這就必然使用到Hook API技術(shù)，甚至有些安全軟件使用的是特殊的驅(qū)動程序深入到Ring0環(huán)境中，利用HooK技術(shù)來檢測病毒。但是，用戶可能同時安裝多個安全軟件。例如殺軟和防火墻等。不同的安全軟件都一股腦的使用Hook技術(shù)，對各種系統(tǒng)API進行攔截分析，直接造成了系統(tǒng)運行效率的降低。加之有的安全軟件技術(shù)上并完全成熟，使用不穩(wěn)定的驅(qū)動和Hook技術(shù)無疑會大大降低系統(tǒng)穩(wěn)定性，甚至導(dǎo)致沖突造成系統(tǒng)藍屏故障。

利用組策略，防范優(yōu)盤病毒

其實，利用系統(tǒng)內(nèi)置的組策略，就可以毫不費力的攔截優(yōu)盤病毒。運行“gpedit.msc”程 序，在 組策略窗口左側(cè)點擊“計算機配置”→“Windows設(shè)置”→“安全設(shè)置”→“軟件限制策略”→“其他規(guī)則”項，在右側(cè)窗口中點擊菜單“新路徑規(guī)則”項，在彈出窗口（如圖1）中的“路徑”欄中輸入“X:”，在“安全規(guī)則”列表中選擇“不允許”項，點擊確定按鈕，就創(chuàng)建了一條安全規(guī)則，對X盤中的所有程序進行封鎖。這里假設(shè)X為優(yōu)盤盤符。這樣，當(dāng)連接優(yōu)盤后，不管優(yōu)盤病毒多么狡猾，設(shè)計偽裝性多強的“Autorun.inf”文件，當(dāng)其被激活時都會遭到系統(tǒng)的無情攔截。利用上述方法可以簡單有效的抗擊優(yōu)盤病毒，不過問題隨之而來，對于自己常用的確認(rèn)無毒的優(yōu)盤，在有些時候沒有必要進行攔截，而對于外來的優(yōu)盤，卻很有必要進行攔截。上述方法采用的是一刀切的處理模式，無法靈活應(yīng)對不同的使用環(huán)境。其實。借助于簡單的批處理程序，就可以打造出簡單實用的優(yōu)盤病毒防護器。

編制批處理，靈活使用安全策略，

打開“C:WINDOWSsystem32GroupPolicy”文件夾，在其中保存了組策略配置文件。組策略中的“計算機配置”相關(guān)內(nèi)容保存在“Machine”子文件夾中，“用戶配置”相關(guān)內(nèi)容保存在“User”子文件夾中。進入“Machine”文件夾，其中的“Registry.pol”文件就保存了我們剛才添加的安全規(guī)則。先將該“Registry.pol”文件復(fù)制出來，然后在組策略中刪除上述規(guī)則，就可以自由運行優(yōu)盤上的所有程序了。如果將該“Registry.pol”文件復(fù)制回來，同時在CMD窗口中執(zhí)行“gpupdate/force”命令，就會重新激活上述安全規(guī)則，對優(yōu)盤中的程序進行攔截。

手工操作起來畢竟繁瑣，我們可以編寫批處理來靈活操作。首先在沒有配置任何安全規(guī)則的情況下，將上述路徑中的“Registry.pol”文件備份為“Registryopen.pol”文 件，然后配置上述安全規(guī)則，然后將“Registry.pol”文件備份為“Registrydeny.pol”文件，將上述兩個文件放置在上述“Machine”文件夾中。使用記事本編寫批處理文件，其內(nèi)容為：

將其保存為名稱為“禁止優(yōu)盤保護.bat”文件。當(dāng)其運行后，會清除當(dāng)前“Registryopen.pol”文 件，使用不包含上述安全規(guī)則的“Registryopen.pol”文件對其進行替換。再編制一個名稱為“激活優(yōu)盤保護.bat”的批處理文件，其內(nèi)容為：

運行該批處理文件，可以刪除當(dāng)前Registry.pol文件，使用包含上述安全規(guī)則的Registrydeny.pol文件對其進行替換。這樣，在使用自己安全可靠的優(yōu)盤時，運行“禁止優(yōu)盤保護.bat”文件，取消優(yōu)盤保護規(guī)則，自由運行優(yōu)盤程序，當(dāng)使用外來優(yōu)盤時，運行“激活優(yōu)盤保護.bat”，激活優(yōu)盤保護規(guī)則，禁止優(yōu)盤程序運行。

您可以在桌面上為兩個批處理文件創(chuàng)建快捷方式，并分別在其屬性窗口中為其設(shè)置激活熱鍵，點擊對應(yīng)熱鍵，就可以快速啟動對應(yīng)的批處理程序，靈活使用優(yōu)盤安全規(guī)則。